2010年CSO状态报告出炉:在充满艰难的道路上前行

原创
安全 企业动态
从上表可以看出,6年前,受访者所在公司对安全风险管理普遍不重视,缺乏安全策略,CSO和安全培训,时至今日情况有所不同了,根据调查报告可看出,今年许多公司都建立了安全计划,包括策略,人事和培训。

当今企业面临的安全风险越来越大,据2010年CSO(首席安全执行官)状态调查报告显示,各种规模的企业开始迅速上线先进的安全解决方案,但即便如此,企业仍然有更多的工作要做,最显著是安全考评和宣传工作。下面一起来看看本次调查问卷的结果。

1、根据每一项描述,给你的组织打分(使用百分数打分,越高表示越吻合该项描述)。

 
  
花点时间反省以下以上内容,对你的工作将有莫大的帮助。

从上表可以看出,6年前,受访者所在公司对安全风险管理普遍不重视,缺乏安全策略,CSO和安全培训,时至今日情况有所不同了,根据调查报告可看出,今年许多公司都建立了安全计划,包括策略,人事和培训。

除了互联网市场外,这十年还有什么技术能在企业中如此快速地得到普及?以前谈论安全总是挂在嘴上,没有实际行动,如果不是近年不断发生的攻击事件,可能还未推动企业下定决心在安全方面加大投入,但今天的CSO仍然需要更多的动力,才能推进安全建设工作。

上表显示的2010年结果并非偶然,这是这些年来每个领域进步的一种表现。

2、根据每一项描述,给你的组织打分(使用百分数打分,越高表示越吻合该项描述)。

上面这两个问题前面已经回答过,很多人都认为大公司在安全方面一定比小公司做得好,但事实恰恰相反,从这个现象我们真的应该好好反思。

我们去年就注意到存在这个现象了,但今年仍然存在有点超乎现象,在去年的调查中,我们希望藉此确定大型企业是否会过渡依赖过程,很多人都认为大型组织更倾向于精细化,一定会有专门负责安全的责任人,一定会有专门的安全培训,而很多小公司的管理人员和员工通常都会这样描述自己的职责“…,以及其它必要的职责”,充分展现小公司一人多职的现象。

但事实就是事实,位于印度Gurgaon Genpact公司的CSO Brian Connor简单明确地解释了这一现象,他认为这是因为安全管理人员与员工缺乏沟通造成的。
那该怎么办呢?弗吉尼亚社区学院系统的CSO Jason Richards开了一剂良方,定期组织所有人员参与演练,数据和场景全部模拟真实环境,这比辛辛苦苦创作内部简报有效得多。

3、在你的安全预算过程中使用了下列哪些方法?


  
(受访者可以选择多个选项作答)

从上面的表格可以清晰看出,使用常见的财务方法做预算的时候越来越少。

这些方法都是标准的,但用在安全预算方面是出了名的困难,例如,年度亏损预期是某个行业的专用术语,放在另一个行业就显得站不住脚。

Richards最后也放弃了这些方法,他说:“我认为将这些方法用在安全预算领域不是不可能,但的确有难度,一开始人们可能会使用它们,但后来发现很笨重就会渐渐放弃”。

但如果一点也不用这些正规的方法也会让人感到不安,Harland Clarke控股公司的CSO John Petrie说:“虽然这里列出的方法没有哪一个能完美体现安全的价值,但它们仍然是衡量安全价值的基础”。

Petrie在一封邮件中表示,衡量安全的价值除了衡量数据的价值外,还应该包括企业的营收(或损失),安全事故响应成本,风险,声誉或其它方面,这些都不容易用具体的数字来衡量,现在我们正在开发一套全新的整体的衡量安全价值的方法,当然也包括了传统的TCO,ROI和EVA方法。

他举了一个例子,如果仅凭TCO和ROI就象领导推荐数据泄漏保护解决方案,肯定会遭到拒绝,但如果结合它能有效阻止员工泄漏机密数据或知识产权,效果就不一样了,他说:“这样就扩大了其价值,因此关于成本的讨论就少了,更多的是关注可接受的风险了”。

4、与过去12个月相比,你的整体安全预算有何变化?

上涨了:34%

持平:52%

降低了:14%

不确定:9%

这个趋势很正常,安全预算一直处于缓慢增长的态势。

5、过去的12个月中,你组织的领导是否给风险管理寄予了更多的价值?

寄予了更多的价值:54%

没有变化:40%

寄予了更少的价值:6%

这个结果也很正常,会有越来越多的管理者重视安全。

6、你的组织是否使用了正式的风险管理过程或方法?

2009 年

是的:46%

没有:57%

2010年

是的:57%

没有:43%

可以看出,很多企业开始采纳正式的企业风险管理(ERM)方法,ERM可能取代上面介绍的财务预算方法。
Security Risk Management公司的总裁Jeff Spivey在4月召开的CSO大会上做了ERM相关的报告,他表示企业在ERM方面投入越多,得到的回报也越大,因此制定一套完善的ERM计划并付诸实践,远比工作在EVA或以成本为基础的评估方式上更有效。

7、在过去12个月中,在调整安全制度方面花的时间有何变化?

增长了:56%

没有变化:42%

减少了:2%

可以看出,花在制度调整方面的时间呈持续上升的趋势。因此在制度建设方面建立一个明确有效的计划显得迫在眉睫。

关于本次调查和受访者

本次CSO状态调查是在线进行的,从中抽取了合格的样本进行统计,总共有227位安全专家参与了本次调查,他们来自各个行业,包括政府和非盈利组织(26%),金融服务(22%),高科技/电信/公用事业(15%),制造业(12%)和医疗保健(9%)等。调查报告包括信息安全,隐私,欺诈保护,调查,审计,人员安全等很多方面的内容。

原文出处:www.computerworld.com/s/article/9178655/State_of_the_CSO_2010_Progress_and_peril
 

责任编辑:王文文 来源: 51cto.com
相关推荐

2019-02-27 17:40:45

安卓计算机学习

2023-05-09 12:33:26

2012-07-02 09:40:05

CRM云计算

2018-12-06 13:13:55

多云数据中心安全性

2019-07-08 17:30:47

智能

2024-01-29 15:44:20

人工智能GenAI

2019-03-10 16:25:54

人工智能坑洼车辆

2021-10-29 19:22:16

可观察性IT基础设施监控

2014-03-06 15:06:28

2020-11-02 15:57:50

物联网数据库技术

2020-02-07 15:14:23

机器学习人工智能谷歌

2015-01-19 11:23:26

ABLOOMY

2015-06-01 15:35:52

2016-09-26 10:19:16

超融合Nutanix

2013-12-12 13:47:00

iOS 7应用UI

2011-06-03 17:59:36

SEO

2016-12-26 08:50:52

AWS云计算Node.js框架

2015-07-07 10:20:49

虚拟化容器化docker部署

2010-02-22 14:57:56

点赞
收藏

51CTO技术栈公众号